關於華碩的軟體更新伺服器遭駭,這樣的問題是否有前例?事實上,這種更新機制遭駭客利用已經不是頭一遭。

例如,2013年南韓防毒軟體業AhnLab遭APT攻擊一事,就是駭客透過更新伺服器這樣的正常管道,讓企業使用的資安工具變成派毒工具。

不過當時的攻擊更為直接,駭客對企業派送惡意程式造成短時間內多間韓國銀行與電視臺遇害,導致使用該防毒的企業電腦與ATM受害,更影響了正常的金融交易運作,這也使得該國政府啟動國家危機管控機制。

在臺灣,過去也有安裝下載伺服器遭入侵的案例,例如2014年底,臺灣遊戲代理商Garena的遊戲安裝檔遭到感染,該公司在網站上發出資訊安全公告,同時公司高層也透過公開聲明向玩家致歉,表達對此駭侵事件的重視與負責。

從上述兩起關於更新、下載伺服器的受駭事件來看,早有前例可循,但類似狀況並未因此終止。

在接下來幾年,又相繼傳出各種形式的滲透攻擊,不是直接從攻破企業防護,而是透過供應商的更新、部署,甚至是開發過程下手,進而威脅到使用這些應用或服務的企業,令人防不勝防。

舉例來說,2015年的蘋果XcodeGhost事件,駭客更是從App開發的環境下手,仿冒一個植入惡意程式碼的山寨版,並散布到中國雲端空間與論壇,讓使用的開發者,打造出的App都具有惡意程式,而這一事件也點出一個現象,那就是許多中國開發者在下載蘋果開發工具時,竟是選擇非官方來源的載點。

不僅如此,駭客的下手面向與鎖定對象,都有很大不同與可能性。像是2017年駭客利用在烏克蘭知名的會計軟體,被用來散布勒索軟體NotPetya,不少資安業者更是認為,這是以癱瘓系統為目標的國家級攻擊行動,與前述南韓防毒軟體事件相同的是,駭客攻擊目標有相當明確的區域性。

此外,在2017年還有像是知名網管工具Xshell 5、系統清理工具CCleaner,這類全球都有不少企業用戶的軟體,也都曾經發現被入侵、假冒,而成為駭客散播惡意程式的管道,帶來廣大的影響,這也與此次華碩事件相同,受害的用戶遍及各地。

甚至,還有些是鎖定產業上下游的事件,例如駭客從PC業者的合作伙伴下手,像是有研究人員揭露HP電腦的音效晶片驅動程式,內藏鍵盤側錄程式。此外,也有駭客假冒某PDF編輯軟體業者合作伙伴的伺服器,並透過特別的挾持手段,讓用戶安裝PDF軟體時原本要從合作伙伴下載MSI格式的字體包,變成連至駭客伺服器,用戶電腦因而被遞送挖礦程式。

上述這些僅僅是部分案例而已,然而我們已經不難看出利用供應鏈的攻擊形式與範圍之廣,而且又難以察覺。

在華碩的這次事件後,也再次讓整體產業,都更關注到更新伺服器與憑證的安全問題,更要提醒的是,儘管業者本身財物損失並不嚴重,但無形的商譽卻造成極大的破壞。

而最關鍵的問題是,一旦更新伺服器與程式碼簽章憑證受駭,等於駭客就能藉由這樣的合法管道散布惡意威脅,不論是產品開發的公司或是產品用戶,該如何繼續信任這些產品的安全性?

對此,面對用戶軟體服務更新有龐大需求的微軟,他們的資訊安全暨風險管理協理林宏嘉也提出他們的觀察。他強調這是一種攻擊邏輯的轉變,業者過去在意的是本身有沒有東西被偷,做好自身的防護,但現在也應該要轉變思維,或許業者本身不是價值標的物,但是駭客可以透過他們去擄獲到很多有價值的標的,因此,本身的防禦也要跟上。

林宏嘉並表示,從犯罪的經濟體系來看,過去APT攻擊只是鎖定單一目標採各種針對性攻擊手法。現在駭客更在意的是經濟規模,而從這些軟體業者下手,可一次獲取到眾多的受害者,再來看誰適合成為目標,或者是先知道某群用戶使用的工具,然後搞清楚其產業鍊結構,再從周邊找出容易攻破的點。

無論如何,未來這樣的網路威脅還可能會變得更氾濫。在今年初,我們也持續看到許多資安業者發布的2019網路安全預測,都在提醒供應鏈攻擊將是現在的主流。對於軟體開發商或自行開發應用程式的企業團隊而言,近年不斷在提倡安全軟體開發,但軟體部署與交付,以及後續軟體升級與維護的安全,也都不能像過去一樣輕忽。

當軟體更新伺服器遭駭,使用這些軟體的企業與用戶該如何處置?

一般而言,更新服務的作用不外乎是功能增加強化與漏洞的修補,企業在考量升級穩定性之餘,通常都是信任這樣的更新機制,而這樣的管道一旦被入侵,不論系統、PC與軟體業者的更新服務,其實都將帶來同樣嚴重程度的風險,但涉及系統與底層的威脅層面,還是最令人憂心。

在華碩這次傳出軟體更新伺服器遭入侵,讓用戶可能更新了具後門的華碩Live Update版本,事後用戶該如何因應?原則上,就是依照原廠提供的安全公告,將Live Update更新至最新且安全的版本,用戶事後能夠做的事情相當有限。另外,官方還建議若是確認自己受到影響,應備份重要資料並還原作業系統,同時定期更換密碼以保障用戶安全。

但對於企業用戶而言,若是這種威脅事件不斷增加的情形下,是否對於這些更新機制也應抱持著零信任的態度?因為這類攻擊已經暴露了軟體更新機制的風險,儘管軟體供應鏈本身需要負相當大的責任,但用戶也可以進一步思考的是,若是不小心發生這樣的問題,該如何降低風險?

例如,現有的防護機制是否能查出這樣的風險,是否要增強端點上的偵測與回應機制,或是做出更高要求的管控,以避免未經授權的程式執行。

同時,企業要對自己本身的標的掌握度也要夠好,也就是要清楚知道一套軟體安裝在多少臺電腦上,內部總共安裝多少軟體及其更新狀態,即便問題發生也能快速清查影響範圍。而對於企業在內部近端架設的軟體更新主機,是否也應增設檢查的關卡,來減少威脅的發生,

無論如何,在軟體供應鏈攻擊的威脅之下,除了供應商要保障本身服務的安全,但用戶與企業本身是否也該採取更嚴謹的做法,因為這已是現今無法迴避的挑戰。

最近6年來軟體供應鏈相關攻擊事件

2013年3月

防毒業者、更新伺服器

  韓國防毒軟體業AhnLab遭駭  

駭客控制該公司病毒碼更新伺服器,透過更新病毒檔這樣的正常管道,讓原本派送給企業用戶最新防毒定義檔的方式,變成直接對企業派送後門並傳遞惡意程式。而這次攻擊行動,直接造成多間韓國銀行與電視臺的電腦與ATM受害。

2014年11月

遊戲代理商、下載伺服器

  臺灣遊戲代理商Garena被入侵  

該公司的遊戲安裝檔伺服器遭駭客入侵,數位簽章也被竊取,影響英雄聯盟(LOL)等三款線上遊戲,導致2014年11月中旬到12月下旬之間,他們在官網供玩家下載的遊戲安裝檔遭感染惡意程式。而業者在12月底,也對外發出安全公告。

2015年3月

App開發工具

  蘋果XcodeGhost事件  

駭客從蘋果開發工具Xcode著手,從其官網下載正版並植入惡意程式碼,再將盜版藉由雲端空間與論壇散,導致用其開發的App都具有惡意程式。事件在2015年9月被揭露,影響App數量超過4千個,同時突顯中國開發者竟選擇非官方來源的載點的普遍現象。

2015年12月

PC業者上下游

  HP電腦音效卡內藏鍵盤側錄  

HP電腦在2017年5月被研究人員Modzero發現內含了側錄程式,問題出在IC設計業者Conexant所生產的音效晶片驅動程式,該研究人員並從檔案的metadata發現,該鍵盤測錄程式,至少在2015年聖誕節期間,就已存在於HP筆電上。

2017年3月

會計軟體、更新伺服器

  烏克蘭會計軟體供應商遭入侵  

當地具有高市占率的會計軟體M.E.Doc,其供應商Intellect Service的更新伺服器在2017年3至6月間遭入侵多次,向其客戶與及其他外部網站散佈勒索軟體NotPetya,經烏克蘭警方在2017年7月破獲。值得注意的是,多數研究人員認為,NotPetya是國家支持的攻擊行動,而對象就是烏克蘭。

2017年7月

網管業者、更新伺服器

  網管工具軟體Xshell 5遭植入後門  

網管工具業者NetSarang遭入侵,他們旗下的Xshell軟體遭駭客修改了程式碼並嵌入惡意檔案,並使用了合法的數位簽章,來執行後門程式ShadowPad,幫助攻擊者私自蒐集目標裝置資料。卡巴斯基實驗室在2017年8月公布相關細節。

2017年8月

系統清理工具、下載伺服器

  系統清理工具CCleaner遭植入後門  

Ccleaner的官網下載被入侵,駭客入侵了Avast剛併購的Piriform公司下載伺服器,使得CCleaner 5.33的Windows版遭到感染,被植入二階段後門。這起事件經Cisco Talos在9月揭露,感染期間為一個月,當時,受感染的程式,已被下載兩百多萬次。

2018年1月

軟體業者合作伙伴伺服器

  某一PDF編輯器的合作伙伴伺服器遭入侵  

微軟在2018年7月揭露一起供應鏈攻擊事件,駭客建立仿冒PDF編輯器軟體之合作夥伴的伺服器,從該合作夥伴提供的字體包MSI檔案著手,注入惡意的虛擬貨幣挖礦程式碼。攻擊行動在1月到3月間,讓使用者下載並執行PDF編輯器時,會自動從假冒伺服器中安裝字體包。

2018年6月

PC業者、更新伺服器

  華碩筆電軟體更新主機遭入侵  

華碩的更新伺服器遭攻破,駭客偷偷藉由更新機制散布後門,這起事件在今年1月被卡巴斯基發現並通知華碩,並於三月曝光於媒體,而根據卡巴斯基的研究,散布惡意更新的時間是在2018年6月到11月這段期間,影響用戶數達百萬。

  3  


Advertisement

更多 iThome相關內容